AI bij access reviews: wat werkt wel, wat niet

AI-assistentie scheelt tot 40% tijd bij een review, mits je weet waar je het voor gebruikt. Niet als beslisser, wel als voorfilter en als uitlegger.

AI kan per access-review-regel een aanbeveling genereren: keep, revoke, change, met motivatie. Dat klinkt als magie. In de praktijk is het nuttig voor routinegevallen, niet voor beslissingen.

Waar AI echt helpt

• Voorfilter op het saaie werk. 80% van de rijen zijn "blijkbaar ongebruikt": laatst geverifieerd 6 maanden geleden, geen login-activiteit, lijkt op standaard sales-rol-drift. AI kan in 30 seconden aangeven: "deze 24 rijen zijn high-confidence keep, deze 8 zijn high-confidence revoke, deze 12 verdienen aandacht."
• Uitleg genereren. "Waarom stelt AI revoke voor?" → "Laatste sign-in 127 dagen geleden, functietitel wijst niet op behoefte aan dit systeem, collega's in dezelfde rol hebben deze toegang niet." Die motivatie is je audit-bewijs.
• Patroondetectie. "Iedereen in Sales heeft X, behalve deze 2 personen" → mogelijk een gat, mogelijk een reden.

Waar AI juist niet moet beslissen

• Privileged access. Global Admin-besluit moet altijd menselijk. AI geeft context, mens beslist.
• Externe partijen. Contractors, partners, klant-logins — context die AI niet altijd heeft.
• Recentelijk vertrokken mensen. Offboarding-acties moeten expliciet zijn, niet AI-gedelegeerd.

Privacy: wat stuur je naar een LLM?

Zet zo min mogelijk naar de AI: functietitel, afdeling, laatst geverifieerd, aantal cellen in matrix. Geen namen, geen e-mailadressen als dat kan. Onze AccessGuard werkt met een fake-mode als je geen AI-key hebt — de flow werkt zonder dat er data naar OpenAI gaat.

AI is een versneller in je review-proces, geen vervanger voor oordeel. Als je daar nuchter mee omgaat haal je er veel waarde uit.